Inteligência Artificial para Negócios -

Artigos

12 Maio, 2020

Com a publicação em abril da MP 959/20,foi prorrogado o vacatio legis da entrada em vigor da Lei Geral de Proteção de Dados (LGPD) para o 3 de maio de 2021. Esta é a segunda prorrogação da norma que originalmente estava programada para o início de 2020 e depois para agosto deste ano.

Sem entrar no mérito da prorrogação, se está correta ou não, é fato que muitas companhias estão trabalhando para estarem aderentes à legislação. Nas várias interações que tenho tido com pessoas envolvidas nestes projetos, a questão das "decisões automatizadas" é um dos grandes pontos de dúvida, e esta coluna tem o objetivo de procurar explicar, com um exemplo prático, o que isto significa. Ao contrário dos artigos da coluna, este aqui é um pouco mais longo e um pouco mais técnico. Não tinha como ser diferente dada a natureza do assunto.


Pano de Fundo: os Direitos dos Titulares de Dados Pessoais

Talvez o primeiro ponto que cause dúvida nas pessoas é o fato de que os direitos dos titulares estão especificados no artigo 18o, mas a questão das decisões automatizadas, que também é um direito, está em outro artigo, o 20 o.

O artigo 18o informa que "o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição" (1) a confirmação da existência de tratamento de dados pessoais; (2) o acesso a esses dados; (3) a correção de dados incompletos, inexatos ou desatualizados;  (4) a  anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; (5) a portabilidade; (6) a eliminação dos dados pessoais tratados com o consentimento do titular e (7) a informação sobre compartilhamento de dados. Está bem claro e bem específico, ou seja, as organizações (de direito público e privado) poderiam focar nestes 7 itens para assegurar que estão aderentes aos direitos do titular.

O problema é que no artigo 20 o aparece um outro direito do titular, que está relacionado a "solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais". Importante notar que a lei é bem abrangente, porque cita "que afetem seus interesses". O restante da redação do artigo são algumas situações, como por exemplo definição de perfil de crédito, mas fica claro que o artigo não se limita a esses exemplos. 


O que Afinal Significa "Revisão"?

Na lei original, 13.709/18, o artigo 20 o nasce com a redação "... solicitar revisão, por pessoa natural, de decisões tomadas ...". Esta redação foi alterada pela MP 869/18 e teve a redação final dada pela lei 13.858, já em 2019. No final, foi retirado do artigo que a revisão deveria ser realizada "por pessoa natural".

Ainda assim, permanece a questão: o que "revisão" significa? Este artigo 20 o é inspirado do artigo 22 da GDPR mas, aqui, não podemos beber dessa fonte para procurar interpretar a lei brasileira. A GDPR é bem clara sobre "explicação", e não sobre "revisão". A diferença, segundo já ouvi de alguns advogados, está relacionada ao fato de que, de alguma forma, pela lei brasileira existe a possibilidade de uma modificação da decisão, já que pode ser revista. Mas, por outro lado, o § 1 o do artigo 20 o  da LGPD não apenas não especifica como poderia ser solicitada a tal revisão como ainda reforça a tese da explicação: "o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial."

A luz das redações acima, e deixando claro que esta é uma opinião deste autor, o mais provável é que por "revisão" entenda-se "explicação", mais alinhado com o § 1 o e com a GDPR.


Como Explicar Decisões Automatizadas?

Aqui, mais uma vez, a LGPD tem uma intersecção com a inteligência artificial. Curiosamente, são dois mundos que estão muito próximos do meu dia a dia.

Inteligência artificial é, explicado de uma forma simples, análise preditiva. Com inteligência artificial "prever" ficou mais barato e mais preciso. E, cada vez mais, os algoritmos que fazem estas previsões estão se sofisticando utilizando modelos de aprendizado profundo (o chamado "deep learning"). O maior problema desses modelos é que eles são chamados de "black box", ou seja, apesar da boa capacidade de previsão eles tem uma baixa capacidade nativa de explicação. Os métodos que existem para explicar tais modelos são recentes, pouco divulgados e excessivamente técnicos. O método que tenho utilizado para explicar decisões dos modelos que desenvolvo é baseado na teoria dos jogos e no trabalho das contribuições marginais de Lloyd Shapley, que ganhou o prêmio Nobel de economia em 2012. Assunto bem nerd, vamos combinar?


Decisões automatizadas na prática

Um modelo, criado a partir de um algoritmo de inteligência artificial, dá como resultado uma probabilidade. Envie uma foto para o modelo de identificação de gatos, e ele retornará "esta foto tem "X%" de chance de ser um gato".

Um exemplo mais próximo da realidade das organizações é o uso de um modelo de aprovação de crédito imobiliário por um banco. As informações que o modelo levará em consideração para calcular a probabilidade de o requerente não pagar o empréstimo são, por exemplo, as seguintes: 

  1. Informações do cliente: idade, sexo, estado civil, renda, se possui casa própria, geolocalização, há quanto tempo é cliente do banco;

  2. Informações do pedido de crédito: valor, objetivo (residencial ou comercial), valor da parcela, juros;

  3. Histórico de crédito: atrasos no pagamento, valor atual de empréstimos, tamanho do histórico de informações de crédito, tempo desde último empréstimo, tipos de crédito que o cliente utiliza;

  4. Comportamento bancário: média mensal de aplicações, níveis médios máximos e mínimos de saldo em conta corrente, volume médio de patrimônio, número de pagamentos fora da data de vencimento, número de vezes que entrou no cheque especial, número de vezes que mudou de endereço nos últimos 5 anos.

Essas características, de milhares de clientes, foram usadas para "treinar" um modelo que as compara (as características) entre dois grupos: um que pagou seu financiamento e outro que não pagou seu financiamento.

Quando o banco tem um novo pedido de empréstimo, ele "manda" todas estas informações para o modelo, que por sua vez calcula a probabilidade de este novo pedido de financiamento não ser pago. O banco define uma regra: "se a probabilidade do modelo for maior que 40%, nega-se o pedido de financiamento".

O que acontece hoje, na vida real, é que a resposta do banco para o cliente é simplesmente "crédito aprovado" ou "crédito negado".

Em tempo, este é um exemplo interessante de digitalização nas organizações. Historicamente este processo de análise sempre foi feito por pessoas. Com certeza ainda há bancos que fazem isto de forma manual, mas existe uma clara tendência para o processo ser inteiramente digital, com as decisões tomadas por algoritmos. 

É aí que entra a LGPD e as decisões automatizadas: se a decisão é tomada unicamente por um algoritmo, o titular tem o direito de saber por que o crédito foi negado, e o banco, em teoria, deveria ter uma explicação como a abaixo:

"Probabilidade de não pagar empréstimo: 83%
Principais fatores que influenciaram a decisão: Idade (+20%), média mensal de aplicações (+12%), sexo (+8%), estado civil (+7%), volume médio de patrimônio renda (+3%), casa própria(+3%), geolocalização(+2%).

Adotar compliance em relação à LGPD pode colocar o banco numa saia justa: atender a LGPD significa tornar público que o banco adota, por decisões automatizadas, uma prática discriminatória em relação à gênero e relação a onde o requerente mora.


Conclusão

A questão de revisar (ou explicar) as decisões automatizadas é muito mais profunda do que parece. Não apenas exigirá das organizações profissionais com experiência e conhecimento para explicar seus modelos, o que até hoje não é uma preocupação ampla de quem utiliza modelos de inteligência artificial como, também, e principalmente, rever que tipo de informação está entrando nestes modelos.

Estar aderente à LGPD pode ser uma boa oportunidade para as organizações descobrirem que, de fato, não estão aderentes à outras regulamentações.


* * *

O blog "Inteligência Artificial para Negócios" da Inova Business School é uma iniciativa de levar assuntos técnicos relacionados à novas tecnologias para a maioria das pessoas. Os assuntos em geral estão relacionados a big data, inteligência artificial, transformação digital, ciência de dados e DataViz. Você encontra mais informações, bem como o histórico de todas os posts, em www.fabianocastello.com.br. Para entrar em contato use o email [email protected] ou acesse o qr-code abaixo.